generalny inspektor ochrony danych osobowych

GENERALNY INSPEKTOR
OCHRONY DANYCH
OSOBOWYCH
dr Edyta Bielak-Jomaa
DOLiS – 035 – 2282/16/AG
Warszawa, dnia 7 września 2016 r.
Pan
Mariusz Błaszczak
Minister Spraw Wewnętrznych i Administracji
Ministerstwo Spraw Wewnętrznych i Administracji
ul. Stefana Batorego 5
02 – 591 Warszawa
WYSTĄPIENIE
na podstawie art. 19a ust. 1 ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych
(t.j. Dz. U. 2016 r. poz. 922)
zgodnie z którym Generalny Inspektor Ochrony Danych
Osobowych, w celu realizacji zadań, o których mowa w jej art. 12 pkt 6, może kierować
do organów państwowych, organów samorządu terytorialnego, państwowych i komunalnych
jednostek organizacyjnych, podmiotów niepublicznych realizujących zadania publiczne, osób
fizycznych i prawnych, jednostek organizacyjnych niebędących osobami prawnymi oraz
innych podmiotów, wystąpienia zmierzające do zapewnienia skutecznej ochrony danych
osobowych,
zwracam się do Pana Ministra, jako organu odpowiedzialnego za nadzór nad działalnością
wojewodów na podstawie kryterium zgodności ich działania z powszechnie obowiązującym
prawem (art. 8 ust. 3 ustawy z dnia 23 stycznia 2009 r. o wojewodzie i administracji rządowej
w województwie – Dz. U. 2015, poz. 525 z późn. zm.) o wskazanie wojewodom pełniącym
ul. Stawki 2
tel.(022) 860 – 70 – 81
00 – 193 Warszawa
fax (022) 860 – 70 – 90
www.giodo.gov.pl
funkcję organu nadzoru nad działalnością jednostek samorządu terytorialnego pod względem
legalności (art. 3 pkt 3 i 4 ww. ustawy) na konieczność respektowania w treści uchwał
organów jednostek samorządu terytorialnego, publikowanych na stronach internetowych,
przepisów o ochronie danych osobowych oraz w procesie publikowania danych osobowych
osób fizycznych zawartych w uchwałach organów gmin.
W związku z powtarzającą się praktyką stosowaną w gminach, polegającą na udostępnianiu
danych osobowych osób fizycznych w związku z realizacją prawa dostępu do informacji
publicznej, organ do spraw ochrony danych osobowych występuje do Pana Ministra z wnioskiem
o
podjęcia stosownych działań, mających na celu
wskazanie wojewodom na zasadność
zaniechania w gminach praktyki polegającej na umieszczaniu w uchwałach gminy pełnych danych
osobowych osób fizycznych w przypadkach kiedy jest to zbędne oraz, jeżeli ich zamieszczanie jest
konieczne - do dokonywania każdorazowej anonimizacji tych danych przed opublikowaniem
uchwał na stronach internetowych.
Ochrona danych osobowych przy udostępnianiu informacji publicznej to kwestia budząca
wiele wątpliwości i kontrowersji. Znalezienie właściwego balansu pomiędzy prawem do informacji
publicznej a prawem do prywatności i ochrony autonomii informacji jednostki a zatem wyważenie
tych wartości i właściwe stosowanie przepisów o ochronie danych osobowych i ustawy o dostępie
do informacji publicznej wciąż nastręcza trudności. Zarówno prawo do prywatności, ochrona
danych osobowych, jak i prawo dostępu do informacji publicznej należą do katalogu praw
chronionych konstytucyjnie. Oznacza to, że z jednej strony organy władzy publicznej mają
zapewnić przejrzystość swoich działań, zgodnie z zasadą jawności życia publicznego, z drugiej
zaś muszą chronić prawa i wolości jednostki, w tym prawa do prywatności i ochrony danych
osobowych.
Istotą ochrony danych osobowych jest ochrona prywatności osoby, której dane dotyczą.
Źródło tej ochrony stanowi przede wszystkim ustawa z dnia 2 kwietnia 1997 r. Konstytucja
Rzeczypospolitej Polskiej (Dz.U. Nr 78, poz. 483 ze zm.). W myśl jej art. 47 każdy ma prawo
m.in. do ochrony prawnej życia prywatnego, rodzinnego, czci i dobrego imienia. Zgodnie z art. 51
Konstytucji RP władze publiczne nie mogą pozyskiwać, gromadzić i udostępniać innych informacji
o obywatelach niż niezbędne w demokratycznym państwie prawnym (ust. 2), a zasady i tryb
gromadzenia oraz udostępniania informacji określa ustawa (ust. 5). Konkretyzację ww. normy
stanowi ustawa z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (Dz.U. 2016 r. poz. 922),
której art. 2 ust. 1 określa, że przetwarzanie danych osobowych może mieć miejsce
2
ze względu na dobro publiczne, dobro osoby, której dane dotyczą, lub dobro osób trzecich
w zakresie i trybie określonym ustawą.
Organy władzy publicznej działają na podstawie i w granicach prawa, zgodnie z zasadą
praworządności wyrażoną w art. 7 Konstytucji RP oraz w art. 6 ustawy z dnia 14 czerwca 1960 r.
Kodeks postępowania administracyjnego (Dz.U. z 2016 r. poz. 23), w ramach kompetencji
nadanych im obowiązującymi ich przepisami prawa. Oznacza to, że mogą one przetwarzać dane
osobowe jedynie wtedy, gdy służy to wypełnieniu określonych prawem zadań, obowiązków
i upoważnień. Zarówno zakres, jak i cel przetwarzania danych osobowych przez podmioty
publiczne najczęściej jest wyznaczony przepisami prawa i wynika on bezpośrednio z określonych
prawem zadań danego podmiotu.
Legalność przetwarzania danych osobowych tzw. zwykłych (imię, nazwisko, adres, PESEL)
uwarunkowana jest spełnieniem jednej z materialnych przesłanek dopuszczalności wykonywania
operacji na tych danych stosownie do art. 23 ust. 1 pkt 1-5 ustawy o ochronie danych osobowych.
Ze względu na ww. zasadę legalizmu w tej sprawie istotne znaczenie ma przesłanka określona
w art. 23 ust. 1 pkt 2 ww. ustawy, który stanowi, że przetwarzanie danych osobowych jest
dopuszczalne wtedy, gdy jest to niezbędne dla zrealizowania uprawnienia lub spełnienia obowiązku
wynikającego z przepisu prawa.
Wskazać należy, że ustawa z dnia 6 września 2001 r. o dostępie do informacji publicznej
(Dz.U. 2015 r. poz. 2058 z późn. zm.) w art. 8 ust. 3 zobowiązuje podmioty, o których mowa
w art. 4 ust. 1 i 2 (m.in. organy samorządu terytorialnego), do udostępniania w Biuletynie
Informacji Publicznej informacji publicznych, o których mowa w art. 6 ust. 1 pkt 1-3, pkt 4 lit. a
tiret drugie, lit. c i d i pkt 5. W myśl art. 1 ust. 1 ww. ustawy każda informacja o sprawach
publicznych stanowi informację publiczną w rozumieniu ustawy i podlega udostępnieniu
na zasadach i w trybie określonych w tej ustawie. Zgodnie z art. 3 ust. 1 pkt 1 ww. ustawy prawo
do informacji publicznej obejmuje uprawnienia do uzyskania informacji publicznej, w tym
uzyskania informacji przetworzonej w takim zakresie, w jakim jest to szczególnie istotne dla
interesu publicznego. W myśl art. 6 ust. 1 pkt 4 ww. ustawy udostępnieniu podlega informacja
publiczna w szczególności o danych publicznych, w tym: a) treść i postać dokumentów
urzędowych, w szczególności: treść aktów administracyjnych i innych rozstrzygnięć (tiret
pierwsze), c) treść innych wystąpień i ocen dokonywanych przez organy władzy publicznej.
Zgodnie z art. 6 ust. 2 ww. ustawy dokumentem urzędowym w rozumieniu ustawy jest treść
oświadczenia woli lub wiedzy, utrwalona i podpisana w dowolnej formie przez funkcjonariusza
publicznego w rozumieniu przepisów Kodeksu karnego, w ramach jego kompetencji, skierowana
do innego podmiotu lub złożona do akt sprawy.
3
Prawo do dostępu do informacji publicznej nie jest nieograniczone. Zgodnie z art. 5 ust. 2
ustawy o dostępie do informacji publicznej, prawo do informacji publicznej podlega ograniczeniu
ze względu na prywatność osoby fizycznej lub tajemnicę przedsiębiorcy. Ograniczenie to nie
dotyczy informacji o osobach pełniących funkcje publiczne, mających związek z pełnieniem tych
funkcji, w tym o warunkach powierzenia i wykonywania funkcji, oraz przypadku, gdy osoba
fizyczna lub przedsiębiorca rezygnują z przysługującego im prawa.
W związku z powyższym celem uzyskania wcześniej wskazanego balansu między prawem do
informacji a prawem do ochrony danych osobowych, przed ewentualnym opublikowaniem
dokumentu, powinien on zostać poddany zabiegowi anonimizacji w odniesieniu do danych
osobowych osób fizycznych. Każda bowiem osoba fizyczna, której dane są przetwarzane przez
m.in. organy administracji publicznej, korzysta z określonego w art. 5 ust. 2 omawianej ustawy
ograniczenia w dostępie do informacji publicznej w postaci ochrony prawa do swojej prywatności,
o ile z prawa tego wyraźnie nie zrezygnuje. Ponadto, jak wskazał Wojewódzki Sąd
Administracyjny „usunięcie personaliów osób prywatnych, czy też ich zanonimizowanie
w ogłoszonej w BIP uchwale organu gminnego, nie wpływa na czytelność dokonanego w ten
sposób przekazu. W tym przypadku treść aktu administracyjnego nie traci waloru informacyjnego,
albowiem wynika z niej kto, kiedy i w jakiej sprawie publicznej zajął określone stanowisko”
(wyrok z dnia 18 listopada 2008 r. w sprawie o sygn. akt II SA/Wa 1177/08).
Zgodnie z art. 26 ust. 1 pkt 1-4 ustawy o ochronie danych osobowych, przetwarzający dane
powinien dołożyć szczególnej staranności w celu ochrony interesów osób, których dane dotyczą,
a w szczególności zapewnić, aby dane te były: 1) przetwarzane zgodnie z prawem; 2) zbierane dla
oznaczonych, zgodnych z prawem celów, w jakich są przetwarzane; 3) merytorycznie poprawne
i adekwatne w stosunku do celów, w jakich są przetwarzane 4)przechowywane w postaci
umożliwiającej identyfikację osób, której dotyczą, nie dłużej niż jest to niezbędne do osiągnięcia
celu przetwarzania.
Adekwatność danych w stosunku do celu ich przetwarzania powinna być rozumiana jako
równowaga pomiędzy uprawnieniem osoby do dysponowania swymi danymi, a interesem
administratora danych. W niniejszej sprawie chodzi o realizowanie celu jakim jest obowiązek
udostępniania informacji publicznej. Równowaga będzie zachowana, jeżeli administrator
przetwarza dane tylko w takim zakresie, w jakim jest to niezbędne do wypełnienia celu, w jakim
dane są przez niego przetwarzane (art. 26 ust. 1 pkt 3 ustawy o ochronie danych osobowych).
Nie można zbierać i dalej przetwarzać, w tym udostępniać większej ilości danych, niż jest to
niezbędne do realizacji określonego celu przetwarzania. Dane muszą być adekwatne do celu ich
zbierania i przetwarzania, a cel przetwarzania danych musi być zgodny z prawem. Cel musi być
4
określony przed rozpoczęciem przetwarzania danych (art. 26 ust. 1 pkt 2 ustawy o ochronie danych
osobowych).
Organy władzy publicznej kształtując treść uchwał dotyczących przetwarzania danych
osobowych nie mogą w swoich działaniach pomijać opisanej wyżej zasady adekwatności.
Zamieszczanie w uchwałach rady gminy danych osobowych powinno następować tylko
wtedy, kiedy jest to niezbędne. Publikowanie zaś na stronach internetowych uchwał rady gminy
może odbywać się tylko po odpowiednim przetworzeniu (zanonimizowaniu) danych osobowych
zawartych w tym dokumencie.
W odniesieniu do uchwały rady gminy, podjętej po rozpatrzeniu skargi osoby fizycznej,
zawierającej jej dane osobowe w zakresie imienia oraz nazwiska, publikację uchwały powinno
poprzedzać usunięcie tych danych.
Usunięcie danych osobowych musi być czynnością techniczną na tyle skuteczną, by dalsze
operacje wykonywane na materiale stanowiącym informacje publiczną i czynienie z niego użytku,
nie umożliwiało jakiegokolwiek dotarcia do danych osobowych, ich odtworzenia i odwrócenia
procesu anonimizacji.
Podsumowując tę część wystąpienia GIODO wskazać należy, w każdym przypadku
udostępniania informacji publicznej w oparciu o przepisy ustawy o dostępie do informacji
publicznej, konieczne jest uwzględnienie ograniczeń wynikających m.in. z ochrony prywatności
osoby fizycznej zapisanych w art. 5 niniejszej ustawy. Z normami z art.5 ustawy o dostępie do
informacji publicznej ściśle korespondują wspomniane wyżej zasady adekwatności i celowości
przetwarzania danych, które muszą być stosowane także we wszystkich tych sytuacjach, które
dotyczą ewentualnego ujawnienia informacji.
Zasadnym wydaje się wskazać również , iż zakres udostępnianych danych osób fizycznych
może mieć wpływ na ponowne ich wykorzystywanie, gdyż
ustawodawca przewidział szereg
rozwiązań w tym zakresie w ustawie z dnia 25 lutego 2016 r. o ponownym wykorzystywaniu
informacji sektora publicznego (Dz.U. 2016, poz.352), co może również rodzić ryzyko profilowania
tj. automatycznej technice przetwarzania danych, polegającej na przypisaniu danej osobie „profilu”
w celu przewidywania jej preferencji, zachowań, postaw.
Zwracam się z uprzejmą prośbą do Pana Ministra, by zgodnie z art. 19a ust. 3 ustawy
o ochronie danych osobowych, przekazał Pan Generalnemu Inspektorowi Ochrony Danych
Osobowych informację na temat stanowiska ministra właściwego ds. administracji publicznej
w sprawie niniejszego wystąpienia w terminie 30 dni od daty jego otrzymania.
5
Informuję ponadto, iż treść niniejszego wystąpienia wraz z udzieloną odpowiedzią
opublikowana będzie na stronie internetowej Generalnego Inspektora Ochrony Danych Osobowych,
pod adresem www.giodo.gov.pl.
6